移动终端取证
对Android系统手机取证的研究
2 0 1 3全国计算机 网络与通信 学术会议优秀论文
T e l l e c o m mar k e t
2 、X R Y的作用 是手 机 内存 数据 的存 储 的工具 ,最大 的优 点是 方便 携带 ,该设备 是 由 S I M 卡读 写器 、U S B通信 单元 、数据 线等 组成 的 。它 可 以进 行 多种模 式 的数据 读取 ,不但 操 作方 便 ,并且 处理 效果 很好 ,还有 很好 的对 文件 的加 密措施 ,在 未经允 许 的情况 下 能够很 好 的保
掘其 中有效的信息,破击犯罪行为,也是因为此才应运而生了安卓系统手机取证。 安卓系统手机取证即是对安卓系统手机依靠科学技术的研究及分析, 确保收集到手机内
部 的相 关 数据 ,并且在 最 后从 中挖 掘 出有 法律 效 力 ,有利 于获取 有关 部 门破案 的有 效信 息作 为证据 的过 程 。因为安 卓 系统 是一 个开源 手机 操 作系 统 ,是第一 个 为移动 终 端开发 出的发放 完 整 的移 动 软件 , 并 且安 卓 系统 的架 构和 L i n u x的操作 系 统是相 同 的, 都 是采 用分层 的架 构 , 从 高 到低 依 次为程 序层 ,应 用程 序框 架层 ,中 问件层 ,L i n u x核心层 等 四层 ,它可 以进行 它 功 能 的扩 张 ,可 以直接 接 入 网络上 网 ,作用相 当于 一 台微型计 算机 。 要 想 获取 信 息首 先就 要 弄清 楚信 息源 自哪 些地 方 ?手机 本身 自带 的 内存 ,S D卡 ,识 别
第二 ,避免在取证 的过程有电话和信息的进入,对手机 的原始数据造成丢失或者破坏,
应 该提前 将手 机设 置 为飞行 的模 式 。 第三 ,注 意无 限 网络是 否连接 ,如 果在 取证 的过程 中连 上 网络 也容 易造成 数据 的破 坏 。 第 四 ,注 意将 手 机里面 的原 始数据 备 份 ,才 能进 行分 析 。 第五, 在 成功 备份 好手 机 内存 的数据 之 后 , 可 以将 S I M和 S D卡 中 的数据 分 开进行 分 析 。 四、在 a n d r o i d系统手 机取 证 中存 在 的 问题 由于安 卓系统 手 机 的标 准很 多 ,在 数据 上没有 统一 的标准 ,导 致它 的取证 比较 困难 ,可 以对安 卓系 统手机 的完全镜 像备 份 的软件 很少 ,获取数 据之 后 的分析 工作 很重要 , 但 是 现在 对 数据 分析 能力 还有 待提 高 , 我 国 自己研 发 的手机取 证 的软件 工具 不是 很成 熟 , 也 缺乏 安卓 系统手 机取 证 的技术 上 的标准 ,相关 的法 律 不是很 完善 。
电子取证十大品牌
诺顿致力于为用户提供全方位的网络安全解 决方案,包括个人用户、企业和政府机构。
产品与服务
诺顿提供多种产品和服务,包括安全软件、云服务、数据保护和身份验证等。
诺顿的网络安全解决方案覆盖各种平台和设备,包括PC、Mac、手机和平板电脑等 。
诺顿还提供24/7全天候在线客户服务,为用户提供及时的技术支持和解决方案。
行业地位与影响力
诺顿是全球最大的安全软件提供 商之一,占据较大的市场份额。
诺顿积极参与国际网络安全合作 ,为全球网络安全做出贡献。
01
02
诺顿在网络安全领域具有较高的 行业地位和影响力。
03
04
诺顿的技术创新和产品升级不断 推动行业的发展和进步。
06
品牌六:江民科技
品牌介绍
01 成立时间:1996年 02 总部地点:北京 03 公司性质:民营企业
行业地位与影响力
• 趋势科技在网络安全领域具有较高的行业地位和影响力。根 据权威的市场调查机构报告,趋势科技在网络安全市场的份 额一直处于领先地位。此外,趋势科技的杀毒软件在各种评 测中表现优异,多次获得全球权威的杀毒软件评测机构颁发 的奖项。趋势科技在网络安全领域的专业性和技术实力得到 了广泛认可。
行业地位与影响力
在中国网络安全市场占据重要地 位,是国内用户量最大的网络安
全软件品牌之一。
在国际上也具有一定的影响力, 多次获得国际权威评测机构的认
可和表彰。
奇虎360安全卫士以其高效、全 面的防护能力和用户体验,赢得
了广大用户的信任和好评。
感谢您的观看
THANKS
该品牌隶属于奇虎360科技有 限公司,总部位于中国北京。
奇虎360安全卫士致力于提供 全面、高效、安全的互联网安 全服务。
虹膜识别技术在移动终端应用中的特征及优势分析
存在一定的损耗 和压缩 ,但是仍然不影响虹膜 自身的基 本信息承载量度 ,这种生活的活性就 目前而言让人无法
复制。
( 二 )非接触性 。由于人体的虹膜不同于其他人体
组织器官 ,它是其中一类不可触碰的内部器官 ,换句话 说 ,可见但是不可触碰 。所以 ,在采集取证 的过程中就
显得不那么 困难 ,也避免 了因为有实 际接触而发生的传
来办理银行业务的事例 ,在通过对转化的电子和数据化 的信息进行 配对照后 ,非常方便和安全的对来者的身 份进行校对 ,从而可 以保证一 r 作效率的提升和工作安全
性 的升 级 。
机房的身份识别 、政府办公室 的安检窗 口、资料保密室
的加密和防护等 ;第二 ,在商用级别方 面:金融业 的加 密管理 、银行业 的移动终 端 、商业保 密机构 的 日常管 理 、医疗记录等 ;第三 ,在 民用级别方 面:公 司考勤 的 身份验证 、学校 的学生管理 、社区控制 、门禁 的设备终 端 、电子 商务等 。比如 :1 9 9 8 年 日本 长野冬季 奥运会 中 ,虹膜/ 视 网膜识别 系统被应用在运动员 和政府 官员
人眼睛的虹膜特征进行描述和匹配,从而实现 自动的个人
( 五 )防伪性。虹膜 的辐射半径并不大 ,中国人 的 虹膜成像和西欧人群 明显不 同,呈褐色 ,由于半径 的缘
ห้องสมุดไป่ตู้
身份认证 。这种技术在生物测定行业已经被广泛认为是 目 前精确度 、稳定性、可升级f 生 最高的身份识别系统。 ( 一) 生物活性 。归结于特征方面的虹膜图像 的基 本状态 ,在随机分布 的情形下形成 了我们所说 的唯一性 模式 。早在上世 纪 ,英 国的学者就 已经探讨 出了虹膜 图 像 的 自由度 问题 ,即三点二 比特/ 平方毫米 ,虽然我们
4G单兵高清图传终端
4G高清手持式单兵图传终端产品简介:手持式高清单兵终端是针对移动执法取证、行政监管等单人便携式监控需求应用场景开发的专用设备,该产品采用高速处理器和嵌入式Linux操作系统,集高清视频、音频、3G/4G和Wi-Fi无线通讯模块、GPS/北斗、存储、报警等模块,可配置微型高清摄像头及耳机。
设备可通过3G/4G、Wi-Fi无线网络进行实时视音频信息传输、语音对讲等功能;协同后端功能完善的监控调度指挥平台系统实现针对户外移动式个体的远程调度指挥功能。
产品特点:1.专业的防水防尘设计(IP57防护等级),可有效防止雨水与灰尘进入、抗震能力2.结构小巧、重量合理、满足单兵流动性执勤取证需求;主机与摄像机分体设计,适合手持、腰胯、肩头佩戴等多种佩戴方式3.内置3G或4G、Wi-Fi通讯模块,支持无线传输,可接入平台进行集中监控4.一体化音视频模组,1080P高清摄像头,LED5.采用H.264数字编码技术,编码效率高、存储空间利用率大6.独特的AP热点技术,手机可通过Wi-Fi与设备直连,实时观看设备现场拍摄画面;并可回放设备存储卡中的录像与图片7.支持双码流传输,一路用于本地高清存储,一路用于网络传输8.内置高灵敏度GPS或北斗定位模块(可选),可准确定位设备信息并上传监控中心9.支持后台与设备间双向语音对讲10.支持按钮一键式报警,此时设备将产生手动报警并直接上传平台11.支持设备按钮一键抓拍、录像12.支持TF卡存储,最大支持64G13.内置大容量锂电池(7.4V 3400mAh)、连续工作时间不低于6小时14.专用监控平台软件,具备视频监控、语音对讲、报警接收、地图定位、数据存储等功能15.支持手机远程观看,支持Android、IOS移动设备16.可提供SDK进行二次开发,便于多种平台对接适应行业:交警、巡警、城管、海防、武警、保险、消防、电力、医疗等领域、、、产品规格:标配清单:联系邮件:21169068@。
电子数据取证的法律规定(3篇)
第1篇一、引言随着信息技术的飞速发展,电子数据已成为现代社会不可或缺的一部分。
电子数据取证作为维护社会秩序、打击犯罪的重要手段,其法律地位和规定在我国法律体系中日益凸显。
本文将从电子数据取证的法律规定入手,分析相关法律法规,旨在为从事电子数据取证工作的相关人员提供参考。
二、电子数据取证的定义及意义1. 电子数据取证的定义电子数据取证,是指依法对电子数据进行的收集、固定、分析、鉴定和提交的过程。
电子数据是指以电子形式存在的,具有证据价值的各种信息,如电子邮件、短信、通话记录、网页浏览记录等。
2. 电子数据取证的意义(1)维护社会秩序:通过电子数据取证,可以揭示违法犯罪行为,打击犯罪分子,维护社会稳定。
(2)保障公民权益:电子数据取证有助于维护公民的合法权益,防止侵权行为的发生。
(3)促进司法公正:电子数据取证可以为司法机关提供确凿的证据,提高司法公正性。
三、电子数据取证的法律规定1. 《中华人民共和国刑事诉讼法》《中华人民共和国刑事诉讼法》对电子数据取证的法律规定主要体现在以下方面:(1)第六十二条:证人证言、被害人陈述、犯罪嫌疑人、被告人供述和辩解、鉴定意见、勘验、检查、辨认、侦查实验等笔录、视听资料、电子数据等证据材料,应当依法收集、审查、判断。
(2)第一百三十七条:侦查人员对于与犯罪有关的电子数据,应当依法收集、提取、固定和保存,并附有电子数据来源、提取过程和提取时间等说明。
2. 《中华人民共和国民事诉讼法》《中华人民共和国民事诉讼法》对电子数据取证的法律规定主要体现在以下方面:(1)第六十三条:当事人可以提供证人证言、被害人陈述、鉴定意见、勘验、检查、辨认、侦查实验等笔录、视听资料、电子数据等证据材料。
(2)第一百五十二条:当事人提供的证据材料,应当符合法律规定的证据形式,具有真实性和合法性。
3. 《中华人民共和国行政诉讼法》《中华人民共和国行政诉讼法》对电子数据取证的法律规定主要体现在以下方面:(1)第三十二条:当事人可以提供证人证言、被害人陈述、鉴定意见、勘验、检查、辨认、侦查实验等笔录、视听资料、电子数据等证据材料。
违停车辆移动执法终端的设计
【 关键 词 】 :移 动 终端 ; 3 G; 现 场执 法 ; GP S
随着 我 国机动 车保有 量 以一 个爆 炸性 的速 度 辆进 行拍 照 .即按 动表 单填 写 中的拍 照按 钮 调用 迅 速 增加 .违规 停放 机动 车 已经 成为 了一 个社 会 拍 照 。
在完 成拍 照后 , 弹 出文本框 , 执法 用户 可 以填 车秩 序会起 到极 为 重要 的作用 。而现 在 我 国执法 写 图片 的描述 文字 。最 后执 法用 户选 择将 图片保
3 、 努 力 形成 以人 为 本 、 透 明 和谐 的互 动 氛 围 。
微 博 宣传 人 员应 加强 与考 生 的 良性互 动 .学会 网 ( 3 ) 是 创 建为考 生服 务 的新 渠道 。建立 “ 自考 言 网语 , 重 视发 言 的语 气 、 用词 , 综 合利 用 文 字 、 图
四、 与服 务器 端 的通信
在A n d r o i d系 统 中调 用 摄像 头 对 违 法停 放 车
通 过 比较 ,本 系统 将使 用 ( 下转第 1 5 5页 )
2 0 1 3年第 1 期
福 建 电
脑
1 5 5
博 的 留言 ,了解考 生对 于 哪类 自考 问题 比较 集 中 有 重要 作 用 或对 哪些 自考 政策 比较关 注 .以便 针对 性 地 开展 2 、 努力 形 成 点 面结合 、 权 威 引 导 的联 动机 制 。 工作 或 对今 后 的工作 决策 提供 参 考
问题 。 解 决这 一 问题 , 及 时准确 的执 法处 理对 于停
人员 往往 要完 成手 工填写 违法 通 告单 .回去 录入 存 到本机 或 者上传 给 服务器 端 。 信息 到计 算机 的繁琐 工作 ,为 了有效 的提 高 执法 人 员对 于违规 机动 车 的处罚 效率 本 文 将设 计一 个基于 A n d r o i d系统 的移 动执 法 终 端作 为 执 法 的 有力 支 持 。 执 法 端 基 本 流 程 图
数据取证设备一致性评价及标准体系研究
58
2014年第09期 入 选 论 文
而获取更多案件相关信息,提高案件侦破速度。 目前,公安部门通过数据取证设备来恢复并提取手机、
电脑、存储介质等设备中的数据,为案件侦查提供有用信 息。数据取证不仅用于刑事案件的侦查和诉讼中,在许多 民事案件中也越来越多地涉及。在当前的法庭审判中,取 证到的短信、彩信、联系人通话记录、录音、录像、照片 等内容已越来越多地被用作法庭证据。另外,通过通信接 口获取信息化设备中的数据(如恢复被删除的数据等)作 为侦查信息来使用,能够有效地协助警方获取与案件相关 的有用信息,在个别情况下也可以作为间接证据成为证据 链的一个组成部分。数据取证设备已成为公安部门工作中 不可缺少的重要工具。
FAN Hong, HU Zhi-ang, DU Da-hபைடு நூலகம்i, WANG Guan
(The First Research Institute of Ministry of Public Security, Beijing 100048, China) Abstract: In this paper, we studied the technologies and standards developments of data forensics equipment in domestic and abroad. The requirements and conformance assessment methods for data forensics equipment are discussed. Since there are no open domestic standards for data forensics equipment, we propose a standards system for data forensics equipment. The standards system is mainly on technology requirements and test standards for data forensics equipment, which can provide useful helps for product design and manufacture guides for corporations. And it can also provide a blueprint for standard formulation and revision on data forensics equipment. Meanwhile, the standards system can improve the products test and product quality. Hence, it can help the police to get effective data and improve the criminal case investigation efficiency. Key words: data forensics equipment; cyber crime; forensics; conformance assessment; standards system
RH-6900型手机数据取证分析仪
RH-6900型手机数据取证分析仪
吴春涛;王伟;高志
【摘要】通过对手机内用户数据提取方案及解析技术的研究,分析现有手机系统的取证方案,基于逻辑提取和物理提取两种工作原理,探索不同手机的合理操作步骤,并结合现有成熟仪器在真实案件中的实际应用,介绍了手机取证的各种手段及发展水平.
【期刊名称】《警察技术》
【年(卷),期】2016(000)002
【总页数】8页(P61-68)
【关键词】手机取证;物理镜像获取;删除数据的恢复
【作者】吴春涛;王伟;高志
【作者单位】内蒙古自治区公安厅刑侦总队;内蒙古自治区公安厅刑侦总队;大连睿海信息科技有限公司
【正文语种】中文
随着通讯和电子技术的日益发展,手机早已成为人们日常生活中不可或缺的通讯工具,尤其在移动互联时代,手机的功能已不单单是满足通讯需求,基于各种操作系统开发的应用软件已经渗透到人们生活的各个方面。
公安机关在案件侦查时,能否对这些涉案的移动终端存储介质进行电子数据提取、分析和数据挖掘往往成为获取案件重要信息的关键环节。
RH-6900型手机数据提取分析仪,在综合运用JTAG 技术、ISP技术、直接对存储芯片读取技术、底层逻辑镜像提取技术等多种技术手
段的基础上,可实现对手机中数据的提取和分析取证,从而助力公安机关在案件侦破过程中对关键证据的获取。
(完整版)电子数据取证标准.doc
电子数据取证标准随着全球信息化的速展,越来越多的数据以子形式保存。
信息安全品、信息安全服、安全事件理与急响等方面都离不开子据;此外,在商交易、政府服、交流沟通、网等各种网用中也大量涉及到子据。
但是如同潘多拉的魔盒,商用的快速展也伴随着互网法犯罪不断增。
有数据示2013 年中国网民在互网上失近1500 ,截止 2013 年 12 月,我国网民模达到 6.18 ,就意味着2014 年中国网民每人平均失达243 元。
子数据取技,是信息安全域的一个全新分支,逐受到人的重,它不是法学在算机科学中的有效用,而且是有网安全体系的有力充。
近年来,我国的民事法、刑事法和行政法将子数据确立法定据种之一,子据已在我国民事、刑事和行政法活中重要作用。
子数据取是一个的程,因它需要符合法律的要求。
因此,取机构必从“人、机、料、法、” 等多个方面范子数据取工作。
我国子据的准化工作起步晚,但是国家于相关准工作十分重。
《全国人大常委会关于司法定管理的决定》(以下称《决定》)从国家基本法律面子数据定遵守技准的做了明确定,即“ 定人和定机构从事司法定,当遵守法律、法,遵守道德和律,尊重科学,遵守技操作范。
”部章和范性文件面也有似定。
2005 年《公安机关子数据定》(公信安 [2005]281号)明确要求公安机关子数据定人当履行并遵守行准和定程定的;2006 年《公安机关定机构登管理法》(公安部令第83 号)明确将定机构遵守技准的情况入公安登管理部年度考核的内容中;2007 年《司法定程序通》(司法部令第107 号)定人采技准做出了的要求,其第 22 条定,“司法定人行定,当依下列序遵守和采用域的技准和技范:(一)国家准和技范;(二)司法定主管部、司法定行或者相关行主管部制定的行准和技范;(三)域多数家可的技准和技范⋯..”在我国电子数据鉴定领域,要真正贯彻以上法律法规的规定,国家标准和技术规范、行业标准和技术规范等标准的制定和发布是前提。
Android智能手机数据恢复取证研究
Android智能手机数据恢复取证研究摘要-随着安卓手机的流行,人民的生活变得越来越便利,它也为犯罪分子带来了犯罪的新途径。
数据恢复是取证的一个重要组成部分,因为它可以挖掘潜在的证据。
在本文中,我们发现了恢复删除的数据的机会,但这种数据没有抹去NAND和yaffs2文件系统的结构,尤其是数据删除机制,本文提出了一种恢复Android智能手机和yaffs2文件系统数据的方法。
关键词:Android;取证;yaffs2文件系统;数据恢复;NAND一简介随着通信技术的发展,手机已成为人们生活的必需品,特别是具有自主智能操作系统的智能手机变得越来越流行。
智能手机是指“像个人电脑一样的一种手机,具有独立的操作系统,它的使用者,可以安装软件,如游戏第三方服务提供商的程序,可以通过这样的程序不断扩展手机功能,通过移动通信网络实现无线网络[ 1 ]。
由于智能手机的强大优势和智能手机开发商的推动,智能手机的渗透率还在不断增长。
智能手机提供了巨大的机会,但也造成了很多问题。
虽然普通手机的剖解分析通常会得到一个众所周知的数据集(如通话记录,短信,联系人,照片),但对智能手机这样的分析会揭示了大量其他的信息,因为每个应用程序都存储了应用相关的数据[ 2 ]。
移动电话和移动网络被越来越多地用于犯罪。
手机和手机相关犯罪对社会造成极大危害,引起了执法部门的高度重视。
在许多案件的处理过程中,来自手机的相关证据越来越多,一般手机往往保留了重要信息,为案件事实的澄清提供线索和依据。
在某些情况下,它甚至成为主要证据。
目前,手机犯罪可分为三种类型:第一种是在实施犯罪行为的过程中,手机作为沟通工具;第二种是手机作为犯罪证据的存储媒介;最后一种是手机作为犯罪活动实施工具,如短信诈骗,短信骚扰和病毒软件通讯等。
在调查的过程中,智能手机上存储的数据可能是非常有用的分析师[ 3 ]。
因此,对于手机取证问题的研究成为刑事证据的焦点之一。
Android系统是基于Linux内核的开源手机操作系统,由谷歌公司开发,这是移动终端的第一个开放和完整的移动软件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
移动终端取证
近几年,伴随着移动通讯技术的广泛发展,手机也成为了个人必备的通讯设备,同时,手机中的信息也越来越重要,手机犯罪率也相对以往提高了很多,在这些情况的影响下,对手机取证技术的要求也越来越高。
从概念上来讲,手机取证是指在诉讼过程中,由有法定取证资格的取证主体运用符合规范的取证工具以及相关技术方法,发现提取和检验手机及相关设备,从中获得证据和案件线索的一种取证方式,具体就是从手机SIM卡,手机存储卡,外置存储卡以及移动网络运营商数据库中收集,保全,分析相关的电子证据,并最终从中获得具有法律效力,能被法庭认可的证据的过程。
目前,有关手机犯罪的行为可以分为以下三类:手机在犯罪行为的实施过程中作为通讯联络工具使用,第二,手机用来存储犯罪证据,最后一类是手机用来实施短信诈骗,短信骚扰和病毒软件传播等新型手机犯罪活动。
为了维持社会安定,保障人民利益,打击犯罪行为就需要充分的发展手机取证技术。
一移动终端设备取证的特点
手机,以及PDA等设备的取证,有别于传统的计算机取证,主要表现为四个因素:首先,取证对象很强的移动性决定了取证要有针对性;其次,文件系统存储于具有非易失性的存储中;手持式设备的产品周期非常短;由于每个手机生产商都有自己的操作系统,使得嵌入式操作系统的多样性的也成为移动终端设备取证有别于传统的计算机取证;
二手机取证的取证原则
(一)取证合法原则:这个原则和传统取证一样,首先,取证主义必须要有法定的权限和资格;其次,取证程序必须规范;最后,取证的工具也必须符合规范。
(二)取证及时原则:手机取证必须要迅速及时。
因为,首先,手机保存的数据具有天然的脆弱性,很容易因为外界环境的改变而破坏。
其次,手机的内存相对来说容量较小,故其内存数据动态更新很快;最后,手机的电量也是有限的,为了防止电量消耗完后关机引起的数据丢失等,必须要及时获取信息。
(三)取证备份原则:由于数据信息本身具有易丢失的特性,在取证过程中,为了防止这种情况的发生,必须要对已经取得的数据进行备份。
(四)环境安全原则:手机证据中有一部分是属于电子证据的,它存储在电磁介质上,而电子介质易受外界环境的影响,因此,手机数据存储载体必须在安全的环境下进行妥善保管。
(五)证据保管流转链原则:即从手机被确定为取证对象时,就必须建立证据流转链记录,连续的记录下从发现或获得手机数据载体一直到取证结束的整个过程中所有和该手机数据载体取证相关的活动。
三手机的取证源
手机的取证源有SIM卡,手机内存,外置存储卡,移动网络运行商;
(一)用户身份识别卡(SIM卡):用来作为用户识别模块的SIM卡,即用户身份识别卡,在通信网络中,和手机共同构成移动移动通信终端设备。
SIM是一种特殊的智能卡,常见的SIM卡存储容量是16K到64K。
SIM卡存储上的内容可以分为五类:SIM卡生产商存储的原始数据;手机存储的固有信息;手机使用过程中生成存储的信息;用户在使用SIM卡过程中自动存入和更新的网络服务及
用户信息数据,如设置的周期性位置更新间隔时间等信息;其他相关的手机参数,包括PIN和PUK等信息。
(二)手机内存:由于手机内存存储数据的不同,手机内存分为静态存储区和动态存储区这两部分,其中,执行操作系统指令以及用户应用程序时产生的临时数据储存于动态存储区中,同时,操作系统、各种配置数据以及一些用户个人数据保存于静态存储区中。
(三)外置存储卡:为了解决随着手机功能的增强,手机内置的存储芯片容量需要不断扩充的需求,许多品牌型号的手机都提供了外置存储卡来扩充存储容量,这些文件可能是侵犯他人隐私或有版权问题,在处理涉及版权或著作权的案件,以及犯罪行为时可以作为一个潜在的电子证据来源。
当前常见的外置存储卡有SD、Mini SD和Memory Stick。
(四)移动通信网络运行商:移动网络运营商的用户注册信息与通话数据记录这两个数据库都存储着大量的潜在证据,主要包括了,移动运营商的CDR 数据库中的通话数据记录以及用户注册信息数据库中的用户资料,其中,通话数据记录数据库中的一条记录信息,它包括有主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务类型以及通话过程中起始端与终止端网络服务基站信息;从用户注册信息数据库中可以获取包括用户姓名、证件号码、住址、手机号码、SIM卡号及其PIN和PUK、IMSI号和所开通的服务类型信息;
四手机取证过程中电子证据的获取
手机取证过程中,根据手机取证的四条原则,通常在提取手机及SIM卡中的有关证据信息时,先将手机与外界网络隔离,再依次获取手机相关的电子证据。
(一) 获取SIM卡中证据
第一,文本消息的获取
SIM卡提供了文本信息的存储空间,现代手机基本上都允许用户在手机的存储器中存储文本信息,根据手机软件的设置和用户的配置就可以决定先使用哪个存储器以及储存文本信息的存储器,通常的配置是收到的短消息存储于默认的配置存储,发送的短消息按照用户的要求存储,大多数的手机在使用手机内部的存储器之前优先使用SIM卡上的存储器。
虽然不同手机删除短信的机制不同,但一般情况下,只是把短信存储区的状态字节值改为00000000,因此删除的文本消息在只要没有被新的短消息覆盖的情况下就可以恢复除状态字节外的部分,恢复工作通常使用ParabenCellSeizure软件就可以完成,而另外还有一些手机在删除短信时,不仅是将短信存储区的状态字节的值改为00000000,第2-176字节中的内容也全部被修改为FF,这样短信的实际内容已经不复存在,很难将其内容恢复。
第二,已拨电话的获取
SIM卡能以二进制的编码方式存储最近的已拨号码,一个手机的SIM卡在没有更换到任何其他手机中的情况下,对于大部分手机,最后拨出的10个号码通常是可以恢复的。
第三,电话薄信息的获取
SIM卡中电话簿的号码同样以二进制的编码方式存储,若电话号码被删除,存储空间的信息在没有覆盖的情况下是可以进行恢复的。
如果存储空间的信息被十六进制的FF所覆盖,通常想恢复被删除的电话号码是不可能的。
但是由于存储空间是循环分配的,通过识别用过的空间之间的空闲空间通常是可以发现存储的号码被删除过的。
(二)获取内存中的证据
一般情况下,手机内存中的数据都保存为私有格式,但不同厂商、型号和系统会有所变化,由于厂家的保密,所以无法获取其储存格式和原理,但通常仍然能够对其进行取证,目前公安机关对手机的取证多用Paraben device seizure 软件,但该软件的一个缺点是:只支持部分厂家的特定型号的手机,如:Nokia、Sony Ericsson、LG、Siemens、Samsung、Motorola等。
对于一些该软件不支持的手机型号,可以利用手机操作系统或着手机制造商提供的接口软件来读出其中的数据,当前市场上所购的手机多数都会附带同步手机与计算机数据的软件包,这些软件可得到手机中一些存储数据的镜像,常见的此类软件有Nokia PC Suite和Sony Ericsson SyncStation。
这些软件可从手机内存中得到电话簿、接听/呼叫电话记录、接收/发送短消息记录以及个人行程表等信息,但这些操作有可能会破坏原始敬据,而且也不能恢复被删除的数据。
(三)获取外置存储卡中的证据
外置存储卡具有的容量大,可以随意更换,插在手机中携带方便等特点使得越来越多的厂家生产支持外置存储卡的手机,也有越来越多的人们习惯了将资料放入外置存储卡中,当然也会包括犯罪分子的犯罪证据。
外置存储卡的存储原理和计算机硬盘的存储原理一样,通常会使用FAT文件系统,目前,公安一线对计算机的取证技术已日趋成熟,取证软件主要有Encase、FTK等。
(四)获取网络运行商的相关证据
取证主体课根据SIM卡所注册的手机号码对通话记录数据库进行数据检索,来得到此号码的通话记录和短信记录,另外,也可以手机IMEI号搜索用户注册信息数据库从而获得用户注册信息及通话记录。
但由于网络运行商的业务数据具有数据量大,更新快等特点,决定了取证主体应尽快地完成对网络的运营商相关业务数据库的取证工作。
五常见的手机取证软件
目前,各种取证软件在手机取证过程中变的越来越普遍,虽然一些手机取证软件多多少少会存在一些缺陷,但只要取证主体能针对性的对其加以综合利用还是可以达到令人满意的取证效果。
如今,业界常用的手机取证全键可以大致非为两类:一种是对手机存储卡进行取证的软件,一种是用来专门处理手机SIM卡的取证软件。
EnCase,CellSeizure,GSM.XRY,Oxygen Phone Manager等。
六总结
随着手机犯罪的多样化,在加大防范措施的同时,一方面,必须进一步的发展和完善手机取证工具,软件和方法的研究,使其在法庭更能满足证据的各项要求;在另一方面,为方便取证,手机制造商和取证主体之间可以通过交流制定出统一标准。
在今后,伴随着技术的发展,也会有更多的犯罪形式出现,而随着,相关法律的制度和条例也会越来越规范,手机等移动终端的取证技术也会有很大的发展空间。